Innlegget er tidligere publisert i Finansavisen.

NSMs grunnprinsipper for IKT-sikkerhet er en samling med sikkerhetsanbefalinger for å beskytte digitale systemer mot dataangrep. Virksomheter som arbeider systematisk og godt med sikkerhet kan holde risikoen for digitale systemer på et akseptabelt nivå. NSMs grunnprinsipper for IKT-sikkerhet er relevant for alle norske virksomheter og vil være et godt startsted for en sikker, digital hverdag.

Hvordan vil NSMs grunnprinsipper være til hjelpe for din virksomhet?

Toppledelsen fastsetter forretningsprioritet, kommuniserer virksomhetens risikotoleranse og tildeler budsjettmidler. Det er avgjørende at toppledelsen tar eierskap til og involverer seg i sikkerhetsarbeidet i egen virksomhet. De ulike kategoriene og prinsippene i NSMs grunnprinsipper kan benyttes som styringsparameter i dette arbeidet.

De fire kategoriene
1. Identifisere og kartlegge – Forstå bruken av IKT i virksomheten. Hensikten er å få oversikt over virksomhetens leveranser og tjenester, oppbygning av IKT-systemene og brukerne.

2. Beskytte og opprettholde - Etablere og opprettholde en god beskyttelse av IKT-systemene. Det innebærer å sikre hvordan IKT-systemer anskaffes, planlegges, bygges og konfigureres slik at ønsket sikkerhet oppnås.

3. Oppdage – Kategorien fokuserer på å kartlegge og fjerne IKT-sårbarheter og ondsinnet programvare gjennom sikkerhetsmonitorering og analyse av data.

4. Håndtere og gjenopprette – Hensikten er å være forberedt på dataangrep. Dette innebærer å planlegge for at hendelser kan oppstå og å håndtere hendelser når de inntreffer.

Dataangrep skjer hele tiden

Vi får stadig rapporter om forsøk på dataangrep. Norske virksomheter forvalter viktige verdier og kritiske samfunnsfunksjoner som er av interesse for andre. Det er ikke uvanlig å se målrettede angrep mot slike virksomheter, deres samarbeidspartnere og underleverandører.

Alle virksomheter må i tillegg regne med å bli rammet av generelle dataangrep hvor de ikke nødvendigvis er målgruppen. Det er derfor viktig at alle virksomheter gjør nødvendige grep for å sikre seg.

Hva er status for norske virksomheter?

Dataangrep er ikke noe nytt, men vi er mer sårbare når verden er i krise. Nasjonalt cybersikkerhetssenter gir råd til norske virksomheter, følger med på angrepsforsøk og yter bistand i forbindelse med dataangrep. Dette gjør at vi har et unikt innblikk i sikkerhetstilstanden i mange norske virksomheter og i Norge som helhet. Mange er flinke, men vi ser også mange som slurver. Grunnleggende tiltak for å sikre verdier er ofte ikke på plass.

Mange virksomheter har fått øynene opp for NSMs anbefalinger og benytter disse aktivt. Vi mottar innspill fra mange av disse virksomhetene som vi igjen bruker til å forbedre våre anbefalinger.